Noch bevor der reguläre Patchday am 10. März 2026 startete, veröffentlichte Microsoft am 2. März einen außerplanmäßigen Notfall-Patch für Windows Server 2022. Der Grund: Ein Zertifikatserneuerungsproblem in bestimmten Windows Hello for Business-Umgebungen, das nach dem Februar-Update aufgetreten war und Nutzer in betroffenen Umgebungen am passwortlosen Anmelden hinderte.

Was war das Problem?

Nach der Installation des Februar-Updates KB5075906 trat in bestimmten ADFS-Umgebungen mit zertifikatsbasierter Windows Hello for Business-Authentifizierung ein Fehler auf: Benutzer konnten sich zwar noch normal anmelden, das Dialogfeld zur Erneuerung des „Certificate for Windows Hello” konnte jedoch nicht mehr aktualisiert werden. Die Zertifikatserneuerung blieb hängen – ein stiller Fehler, der ohne direkte Fehlermeldung auf dem Client schwer zu diagnostizieren ist.

Im ADFS-Ereignisprotokoll tauchte dabei typischerweise Event-ID 1021 mit dem Fehlercode MSIS9368: Received invalid OAuth request auf.

Bin ich betroffen? Die Checkliste

Das Problem betrifft nur eine spezifische Konstellation. Folgende Prüfpunkte helfen bei der Einordnung:

• ✓Windows Server 2022 mit installiertem KB5075906 (Februar 2026)
• ✓ADFS (Active Directory Federation Services) als Serverrolle aktiv
• ✓Windows Hello for Business in zertifikatsbasierter Bereitstellung
• ✓Nutzer berichten über fehlgeschlagene Zertifikatserneuerungen oder können die WHfB-PIN nicht aktualisieren

Treffen alle vier Punkte zu, ist die Umgebung betroffen. In allen anderen Fällen bringt KB5082314 zwar allgemeine Sicherheitsverbesserungen, der spezifische Zertifikats-Fix bleibt jedoch inaktiv.

Schritt-für-Schritt: Was zu tun ist

• 1.
  Prüfen ob KB5082314 oder das März-Kumulativ-Update KB5079473 bereits installiert ist – über winver oder WSUS-Konsole. Der März-Kumulativ-Update enthält den Fix vollständig.
• 2.
  ADFS-Ereignisprotokoll prüfen auf Event-ID 1021 (Quelle: AD FS/Admin). Häufiges Auftreten deutet auf aktive Beeinträchtigung hin.
• 3.
  Microsoft Support kontaktieren für die KIR-Gruppenrichtlinien-Datei, die den Zertifikats-Fix aktiviert. Danach: gpupdate /force ausführen.
• 4.
  Funktionstest: Benutzer meldet sich an, prüft ob die Zertifikatserneuerung über das WHfB-Dialogfeld erfolgreich abläuft.

Warum Out-of-Band-Patches besondere Aufmerksamkeit verdienen

Out-of-Band-Updates erscheinen außerhalb des regulären Patchday-Zyklus und landen dadurch häufig unter dem Radar. Patch-Management-Dashboards melden sie manchmal als optional oder ordnen sie nicht automatisch einem kritischen Update-Status zu. Gleichzeitig sind sie oft der Hinweis auf ein Problem, das Microsoft als dringlich genug einstuft, um den normalen Rhythmus zu durchbrechen.

Ein strukturiertes Monitoring aller Windows-Systeme und Serverdienste – inklusive ADFS – ist die zuverlässigste Methode, solche Ereignisse nicht zu übersehen.